Serveur dédié – ftp

Restreindre le FTP par utilisateur

Virtualmin > Limits and Validation > FTP Directory Restrictions > Mettre All virtual servers sur Virtual server’s home directory.

De plus, en SSH :

nano /etc/proftpd/proftpd.conf

Décommenter la ligne

# Use this to jail all users in their homes
DefaultRoot

service proftpd restart

Serveur dédié – french

Environnement et heure française

sudo apt-get install ntp ntpdate

/etc/init.d/ntp stop

ntpdate fr.pool.ntp.org

/etc/init.d/ntp start


nano /etc/environment

Copier :

LANGUAGE=fr
LC_ALL=fr_FR.UTF-8
LANG=fr_FR.UTF-8

Lancer la commande :

dpkg-reconfigure locales

Choisir fr_FR.UTF-8.

Serveur dédié – APT

APT

Désinstallation/suppression du paquet : sudo apt-get autoremove paquet

Désinstallation complète (fichiers de configuration compris) : sudo apt-get autoremove paquet –purge

Vide le cache disque des paquets : sudo apt-get clean

nano /etc/apt/sources.list

sudo apt-get update && apt-get upgrade

sudo apt-get dist-upgrade

reboot

Serveur dédié – zone DNS

Gestion de la zone DNS et des mails

Webmin > Serveurs > Serveurs de noms de domaine (BIND) > Configuration du module en haut à gauche > Zone file options > Style du numéro de série > basé sur la date.

Sauvegarder puis appliquer la configuration en haut à droite.

Tout est à gérer sur le nom de domaine, pas le serveur évidemment.

Guide destiné au manager d’OVH.

Activer la zone DNS du domaine.
Dans le manager, dans les DNS du domaine indiquer en primaire ksxxxxx.kimsufi.com et en secondaire ns.kimsufi.com.
Toujours dans le manager, section du serveur dédié, indiquez comme DNS secondaire votre domaine.
En SSH sur votre serveur, éditez /etc/bind/named.conf.options pour rajouter l’IP de votre serveur : listen-on { 127.0.0.1; aa.bb.cc.dd;};
Redémarrer bind9 : service bind9 restart
Menu Email Messages de VirtualMin, DomainKeys etc, installez DKIM puis activez-le sur les mails sortants tout en désactivant le blocage des mails entrants non signés.

Les DNS peuvent mettre jusqu’à 48h pour se propager, soyez donc patient.

host -t mx ndd.fr doit rapporter ndd.fr mail is handled by 1 mail.ndd.fr.
host mail.ndd.fr doit rapporter mail.ndd.fr has address AA.BB.CC.DD.

Pour tester vos mails :

Mail-tester.com ou envoyez un mail à check-auth@verifier.port25.com.

Gestion des sous-domaines

Autoriser php dans les sous-domaines

nano /etc/mime.types

Décommenter la ligne application/x-httpd-php phtml pht php (loin).

Résoudre le problème de droits d’écriture sur les sous-domaines

Choisir le sous-domaine, Serveur configuration > Website Options > PHP script execution mode à régler sur CGI wrapper (run as virtual server owner) (ou le 3e).

Serveur dédié – transmission

sudo apt-get install -y transmission-daemon

On accède à Transmission par l’url : http://xxx.xxx.xxx.xxx:9091/

La connexion est refusée (erreur 403), car l’IP n’est pas autorisée à se connecter.

/etc/init.d/transmission-daemon stop

Modifier le fichier de configuration (login, mot de passe, …) :

nano /etc/transmission-daemon/settings.json

« rpc-enabled »: true,
« rpc-password »: « mot de passe qui sera hashé »,
« rpc-port »: 9091,
« rpc-username »: « username »,
« rpc-whitelist »: « 127.0.0.1,xxx.xxx.xxx.xxx »,
« rpc-whitelist-enabled »: true,

/etc/init.d/transmission-daemon start

Serveur dédié – screen

sudo apt-get install htop screen -y

Pour créer un nouveau screen : screen -S nom_de_la_session

Pour rappeler un screen : screen -r nom_de_la_session

Connaitre les screens existants : screen -ls

Supprimer un screen mort : screen -wipe

Pour fermer un screen : exit

Serveur dédié – fail2ban

sudo apt-get install fail2ban -y

nano /etc/fail2ban/jail.conf

fail2ban-client start

ignoreip = 127.0.0.1 : Liste des adresses IP de confiance à ignorer par fail2ban (mettre votre IP si vous êtes en IP fixe)
bantime = 900 : Temps de ban en secondes (900 secondes = 15 min)
maxretry = 3 : Nombre d’essais autorisés pour une connexion avant d’être banni

Après modification de la configuration, n’oubliez pas de redémarrer fail2ban :

fail2ban-client reload

Vérifier si correctement lancé avec :

fail2ban-client status

echo « 1 » > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts && echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_source_route && echo « 1 » > /proc/sys/net/ipv4/tcp_syncookies && echo « 1024 » > /proc/sys/net/ipv4/tcp_max_syn_backlog && echo « 1 » > /proc/sys/net/ipv4/conf/all/rp_filter && echo « 1 » > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses && echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_redirects && echo « 0 » > /proc/sys/net/ipv4/conf/all/secure_redirects

Smurf Attack

echo « 1 » > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

Source routing

echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_source_route

Syn Flood

echo « 1 » > /proc/sys/net/ipv4/tcp_syncookies
echo « 1024 » > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo « 1 » > /proc/sys/net/ipv4/conf/all/rp_filter

Bad error messages

echo « 1 » > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

Redirects

echo « 0 » > /proc/sys/net/ipv4/conf/all/accept_redirects
echo « 0 » > /proc/sys/net/ipv4/conf/all/secure_redirects

Windigo

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo « System clean » || echo « System infected »